Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Etudes réalisées par le Cert-IST au cours du premier semestre 2002

Date :29 Juin 2005

Publication: Article

Le Cert-IST réalise chaque année des études sur des sujets choisis par le comité de pilotage. Pour le premier semestre de cette année, le résultat des deux études suivantes vient d'être publié :

  • Moyens de lutte contre le SPAM
  • Filtrage des codes mobiles et des vers

Nous vous en donnons ici un aperçu rapide.

Moyens de lutte contre le SPAM :

Tant que l'utilisateur reçoit un nombre limité de emails non sollicités, le SPAM est simplement un ennui ponctuel, facilement écarté (par envoi à la corbeille de ces emails). Malheureusement, il devient une véritable plaie lorsque la victime du SPAM est obligée de passer de plus en plus de temps quotidiennement à écarter ce type d' emails. Clairement, le phénomène de SPAM est une nuisance qui prend actuellement une ampleur de plus en plus importante, au point que beaucoup d'entreprises cherchent maintenant les moyens de s'en protéger.

L'étude réalisée par le Cert-IST fait le point sur ces moyens. Les techniques de base de protection y sont exposées, depuis la traditionnelle approche par listes noires ("black-list") ou par analyse de contenu, jusqu'à des approches plus novatrices comme l'analyse par signature (par exemple via "DCC" ou "Razor"). Il est montré aussi comment ces techniques peuvent être combinées. Les principaux éléments de choix à prendre en compte lors la définition d'une solution sont enfin identifiés.

Au-delà d'une solution technique de protection, l'accent est aussi mis sur la nécessité de définir au niveau entreprise une politique de sécurité anti-spam, et de définir l'attitude que doit avoir chacun vis-à-vis de ce phénomène.

Filtrage des codes mobiles et des vers :

Ces dernières années, la menace "virus" a beaucoup évolué. Le traditionnel virus qui se propage par disquette est maintenant presque en voie de disparition. Avec le développement de l'inter-connectivité (et d'Internet), il a en fait laissé la place à une autre menace : le "ver" qui se propage automatiquement de poste en poste. Les produits anti-virus ont déjà largement intégré cet aspect, mais la protection qu'ils assurent dépend de la vitesse de réaction des éditeurs en cas d'apparition d'un nouveau ver ou virus.

Il reste donc une fenêtre de vulnérabilité (entre l'arrivée d'un nouveau virus et la mise à jour des signatures anti-virus) qui, à la vitesse de propagation des vers, représente un réel danger. Pour y répondre, la seule solution est de mettre en place des mécanismes de filtrage temporaires pour stopper les nouvelles attaques (par exemple stopper tous les emails contenant un attachement particulier). En l'absence d'une solution plus fine, cela peut vouloir dire couper purement et simplement son interconnexion à Internet, ou aux réseaux internes sensibles.

Pour éviter ce cas extrême, il est intéressant, dans ces situations de crise au moins, de disposer d'outils de filtrage paramétrables. Dans le cas de l'étude réalisée cette année, le Cert-IST s'est intéressé aux deux vecteurs principaux d'infection dans le cadre d'un raccordement Internet :

  • le filtrage des emails suspects,
  • le filtrage des codes mobiles nocifs véhiculés par les pages Web.

En se basant sur le retour d'expérience des sites ayant participé à cette étude, le rapport établit un jugement sur l'efficacité des solutions suivantes :

  • MailSweeper et WebSweeper de ClearSwift,
  • InterScan VirusWall de TrendMicro, et son module HTTP,
  • eMail Sentinel de Syntegra,
  • Squid et SquidGuard (filtrage Web)

Puissance d'expression des filtres, ergonomie de l'interface, ou capacité de journalisation sont quelques-uns des critères évalués pour chaque outil. Plus généralement, la problématique de la menace virale, des codes mobiles, et les solutions possibles sont examinées en détail.

Pour plus d'information :

Les rapports d'études, pour ces 2 sujets traités au premier semestre 2002 (ainsi que les rapports d'études des années précédentes), sont disponibles sur le serveur Web HTTPS du Cert-IST (https://wws.cert-ist.com, à la rubrique "Base de Connaissance / Etudes"). L'accès à cette rubrique est cependant réservé aux entreprises Partenaires.